专栏首页一个安全研究员RMI基础看这一篇就够了

RMI基础看这一篇就够了

0x01基本概念

RMI的全称是Rmote Method Invocation,即远程方法调用,具体怎么实现呢?远程服务器提供具体的类和方法,本地会通过某种方式获得远程类的一个代理,然后通过这个代理调用远程对象的方法,方法的参数是通过序列化与反序列化的方式传递的,所以,1. 只要服务端的对象提供了一个方法,这个方法接收的是一个Object类型的参数,2. 且远程服务器的classpath中存在可利用pop链,那么我们就可以通过在客户端调用这个方法,并传递一个精心构造的对象的方式来攻击rmi服务。

0x02 实现机制

上面说了本地会通过某种方式获得远程对象的代理,那么具体是怎么的实现机制呢?RMI模式中除了有Client与Server,还借助了一个Registry(注册中心)。

|Server|Registry|Client| |:-:|:-:|:-:| |提供具体的远程对象|一个注册表,存放着远程对象的位置(ip、端口、标识符)|远程对象的使用者|

其中Server与Registry可以在同一服务器上实现,也可以布置在不同服务器上,现在一个完整的RMI流程可以大概描述为:

  1. Registry先启动,并监听一个端口,一般为1099
  2. Server向Registry注册远程对象
  3. Client从Registry获得远程对象的代理(这个代理知道远程对象的在网络中的具体位置:ip、端口、标识符),然后Client通过这个代理调用远程方法,Server也是有一个代理的,Server端的代理会收到Client端的调用的方法、参数等,然后代理执行对应方法,并将结果通过网络返回给Client。

两图胜千言:

整体流程:

ps: 图中的stub就是客户端代理,skeleton就是服务端代理,老外起的这英文名字我实在是理解不了~

远程方法调用的通信模式:

不知道有没有人和我一样想过为什么需要这个注册表?

0x03 代码实现

我们已经知道了大体的流程了,那么用代码如何实现上述流程呢?我们自己动手创建一个项目吧,项目结构如下:

1.首先创建一个接口Hello:

package model;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface Hello extends Remote {
    public String welcome(String name) throws RemoteException;
}

2.基于这个接口实现一个类Helloimpl:

package model.impl;

import model.Hello;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class Helloimpl extends UnicastRemoteObject implements Hello {
    public Helloimpl() throws RemoteException {
    }

    @Override
    public String welcome(String name) throws RemoteException {
        return "Hello, "+name;
    }
}

3.创建服务端,服务端创建了一个注册表,并注册了客户端需要的对象

package server;

import model.Hello;
import model.impl.Helloimpl;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Server {
    public static void main(String[] args) throws RemoteException{
        // 创建对象
        Hello hello = new Helloimpl();
        // 创建注册表
        Registry registry = LocateRegistry.createRegistry(1099);
        // 绑定对象到注册表,并给他取名为hello
        registry.rebind("hello", hello);
    }
}

4.客户端调用远程对象

package client;
import model.Hello;
import java.rmi.NotBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Client {
    public static void main(String[] args) throws RemoteException, NotBoundException {
        // 获取到注册表的代理
        Registry registry = LocateRegistry.getRegistry("localhost", 1099);
        // 利用注册表的代理去查询远程注册表中名为hello的对象
        Hello hello = (Hello) registry.lookup("hello");
        // 调用远程方法
        System.out.println(hello.welcome("axin"));
    }
}

先启动服务端,在启动客户端,客户端成功执行远程方法并获得返回的数据:

在写代码的时候有几点需要注意:

  1. 接口需要集成Remote接口,且方法需要抛出RemoteException错误
  2. 接口的实现类需要继承UnicastRemoteObject,同样的方法需要抛出RemoteException错误
  3. 如果远程方法需要传参,需要保证参数是可序列化的,我这里传参只是传了字符串,字符串是可序列化的,如果传参是自定义的对象,那么这个对象需要实现Serilizable接口

注意一点,由于我这里服务端与客户端都是在一台机器上实现的,所以看起来比较简单,如果服务端与客户端不在同一主机,需要保证调用的远程对象实现的那个接口在客户端与服务端都存在!

0x04 其他

到这里就差不多了,暂时满足我们后续学习rmi反序列化漏洞的需要,如果好奇rmi底层代码实现,可以再去读一下jdk的源码,这样会加深你对rmi的理解~

放一篇从源码层面解析rmi实现的文章:https://xz.aliyun.com/t/2223

看文章的同时,最好结合着实践

本文分享自微信公众号 - 一个安全研究员(sec_tntaxin),作者:tnt阿信

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 你知道怎么攻击RMI吗?

    上一章介绍了rmi的基本概念,以及浅显的提了一下rmi的利用点。这一章将结合具体的代码与实践来讲解攻击rmi的方式。

    tnt阿信
  • 老公,JNDI注入是什么呀?

    我们在上一章《攻击rmi的方式》中提到了rmi的一大特性——动态类加载。而jndi注入就是利用的动态类加载完成攻击的。在谈jndi注入之前,我们先来看看关于jn...

    tnt阿信
  • 灰盒方式通关WebGoat8

    select department from employees where first_name='Bob';

    tnt阿信
  • Java编程思想学习录(连载之:一切都是对象)

    CodeSheep
  • ZUI的入门使用

    ###1 基本模版 (ZUI是基于bootstarp进程改造的 所以一些解释 可以参考bootstarp)

    用户5927264
  • java.lang.ClassNotFoundException: com.fasterxml.jackson.annotation.JsonMerge

    MickyInvQ
  • 基于Tcp协议的简单Socket通信实例(JAVA)

    基于TCP协议Socket服务端和客户端的通信模型: Socket通信步骤:(简单分为4步) 1.建立服务端ServerSocket和客户端Sock...

    似水的流年
  • 基于Tcp协议的简单Socket通信实例(JAVA)

    Socket通信步骤:(简单分为4步) 1.建立服务端ServerSocket和客户端Socket 2.打开连接到Socket的输出输入流 3.按照协议进行读写...

    似水的流年
  • B站,你究竟“得罪”了谁?

    2019年4月22日,一则「B站后台代码主仓库被上传GitHub」的消息不胫而走,犹如深水炸弹,在互联网圈里蔓延开来。

    闰土大叔
  • 016.Nginx HTTPS

    超文本传输安全协议HTTPS(Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对...

    木二

扫码关注云+社区

领取腾讯云代金券